Privacy: cosa cambia con il Reg. (UE) 2016/679?

Privacy: cosa cambia con il Reg. (UE) 2016/679?

Il Parlamento europeo con il Consiglio ha approvato il regolamento in materia di protezione dei dati personali (Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE), che introduce nuovi principi e istituti, un rafforzamento dei diritti privacy dei cittadini, consumatori, minori e semplificazioni di alcuni oneri per le multinazionali e le piccole e medie imprese.

ENTRATA IN VIGORE

Il testo è direttamente applicabile nei paesi membri senza bisogno di un atto interno di recepimento sostituisce la precedente direttiva (95/46/CE) in materia di privacy adottata ancora nel 1995.

Il provvedimento entrerà in vigore venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea e le disposizioni contenute saranno applicabili direttamente in tutti gli stati membri due anni dopo tale data, ossia il 25.05.2018.

DESTINATARI

Le disposizioni si applicano a tutti gli operatori che offrono servizi (anche on line) ai cittadini europei anche se non hanno uno stabilimento in Europa. 

E’ un punto di partenza importante perché offre un quadro uniforme di regole per il mercato unico digitale europeo.

LA DISCIPLINA A SOMMI CAPI

Nel Regolamento troviamo molte conferme, ad esempio i principi generali relativi al trattamento, la necessità dell’informativa, sebbene più dettagliata, e del consenso, i diritti dell’interessato. Ma sono previsti anche nuovi istituti e nuove metodologie.

Il concetto di sicurezza informatica ha assunto un significato più attuale, dati i sempre più numerosi attacchi ed incidenti informatici che rappresentano la tendenza alla crescita del fenomeno. Negli ultimi tempi c’è stata una rapida evoluzione della minaccia informatica ed i pericoli sono particolarmente gravi.

Per questo, l’art. 32 del Regolamento prevede che, tenuto conto dei costi e della natura, campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure adeguate per garantire un livello di sicurezza adeguato al rischio, come: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Al centro ci sono i diritti dei cittadini sui propri dati e introduce il principio di portabilità dei dati (c.d. dati take away).

Tutti cittadini, cioè, hanno il diritto di acquisire e riprendersi i dati personali trasmessi ad un’impresa e trasmetterli ad altri operatori (es. social network) senza impedimenti da parte del titolare del trattamento.

Rafforzato il principio della trasparenza: i cittadini devono essere informati in modo semplice e chiaro sulle finalità, modalità, ambito del trattamento e identità del titolare e devono potere esercitare i diritti sui propri dati con maggiore facilità rispetto ad oggi al fine di potere esprimere un consenso informato e chiaro.

Nel caso di violazioni, pertanto, il cittadino potrà rivolgersi all’Autorità di protezione del proprio Paese e ciò qualunque sia il luogo in cui il trattamento dei dati sia effettuato.

Il Regolamento tiene in debita considerazione il problema della protezione dei minori rispetto ai servizi online: in particolare prevede che i servizi online devono ottenere il consenso preventivo dei genitori di registrare i minori con meno di 16 anni, salvo che le leggi nazionali non prevedano limiti più bassi.

Il Regolamento introduce, inoltre, con l’art. 17 il c.d. diritto all’oblio: è la possibilità di richiedere, per motivi legittimi, la cancellazione dei propri dati dai siti web e dalle indicizzazioni dei motori di ricerca.

Imprese e PA hanno l’obbligo di valutazione preliminare di impatto sulla tutela dei dati (“privacy impact assessment”), con una puntuale analisi dei rischi con particolare attenzione ai profili della gravità e probabilità dell’evento e comunicare agli interessati le violazioni dei dati personali (data breach notification) entro le 72 ore. L'Autorità italiana ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835).

Inizialmente l’obbligo è stato previsto solo nei settori telecomunicazioni, bancario e sanitario.

Devono, inoltre, rispettare, nella progettazione di nuovi prodotti o servizi, i principi di “data protection by design” e di “data protection by default”: ciò significa i titolari del trattamento garantiscano la protezione dei dati personali dalle prime fasi di progettazione e sviluppo dei prodotti e dei servizi.

Il Regolamento ha introdotto, inoltre, il “principio di accountability”: le imprese, le pubbliche amministrazioni titolari del trattamento devono dimostrare di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e che le proprie attività e trattamenti sono la conformi con il regolamento europeo, compresa l’efficacia delle misure.

Al fine di poter dimostrare la conformità alle disposizioni del regolamento, è previsto l’obbligo del titolare (o del responsabile) di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza.

Il registro non è richiesto per le imprese con meno di 250 dipendenti, a meno che il trattamento dei dati effettuato dalle stesse possa comportare un rischio specifico per i diritti e le libertà dell’interessato.

Introduce, inoltre, la nuova figura del data protection officer (il responsabile della protezione dei dati personali).

Le P.A. (fatta eccezione per le autorità giudiziarie) devono sempre nominare un data protection officer; per le imprese, invece, tale figura è obbligatoria solo in alcuni casi ossia in presenza di monitoraggio regolare e sistematico dei dati personali su larga scala, trattamento su larga scala di dati sensibili oppure giudiziari.

Il data protection officer (sia interno che esterno all’ente, in ogni caso i cui dati di contatto devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente) dovrà avere specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, sensibilizzazione e formazione del personale.

Tra i suoi compiti: fornire pareri e sarà il punto di contatto dell’organizzazione con il Garante per la protezione dei dati personali, che deve svolgere in assoluta autonomia e indipendenza.

Il regolamento ha introdotto, infine, lo sportello unico, che consente alle imprese con diversi stabilimenti in Europa (id est multinazionali) di stabilire lo “stabilimento principale” e di dialogare con una sola Autorità garante nazionale, al posto di doversi interfacciare con l’autorità di ciascun paese dove ci sono stabilimenti.

Rilevante che il Regolamento abbia altresì inasprito le sanzioni amministrative in caso di violazioni: sanzione fino a 10 milioni di euro o per le imprese fino al  2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, per violazione a) degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4; sanzione fino a 20 milioni di euro o per le imprese fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di violazione: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1;   idem nel caso di inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2.

Per consultare il testo completo del provvedimento: http://eur-lex.europa.eu/legal-content/IT/TX/?uri=CELEX%3A32016R0679

Per migliorare il servizio il sito "StudioLegale Veronica Grillo" utilizza i cookie tecnici. Continuando la navigazione del sito ne accetti l'utilizzo. Se desideri maggiori informazioni sui cookie e su come modificare le impostazioni del tuo browser, leggi la nostra politica in materia di cookie